网安 - 专业的网络安全产业、社区、知识平台

FreakOut 僵尸网络针对 Linux 系统漏洞进行攻击

Andrew2021-01-20 10:34:54

Check Point的安全研究人员发现了与FreakOut僵尸网络相关的一系列攻击,该僵尸网络的目标是Linux系统上运行的应用程序中的多个未打补丁的漏洞。

僵尸网络于2020年11月出现在威胁领域,在某些情况下,攻击利用了最近披露的漏洞来注入OS命令。攻击旨在破坏受感染的系统以创建IRC僵尸网络,该僵尸网络以后可用于进行多种恶意活动,包括DDoS攻击和加密采矿活动。

Check Point观察到的攻击针对运行以下产品之一的设备:

  • TerraMaster TOS(TerraMaster操作系统)–用于管理TerraMaster NAS(网络附加存储)服务器的操作系统
  • Zend Framework –用于使用PHP构建Web应用程序和服务的软件包的集合,安装量超过5.7亿
  • Liferay Portal –一个免费的开源企业门户。这是一个用Java编写的Web应用程序平台,提供与门户网站和网站开发相关的功能。

一旦感染了设备,它将稍后用作攻击平台。

FreakOut僵尸网络针对3种最新危害Linux设备的漏洞

僵尸网络运营商正在扫描互联网,寻找受最近披露的一个漏洞影响的易受攻击的应用程序,并接管底层的Linux系统:

  • CVE-2020-28188 – TerraMaster管理面板中的RCE漏洞(2020年12月24日公开)–远程未经身份验证的攻击者可以利用此漏洞来注入OS命令,并使用TerraMaster TOS(4.2.06之前的版本)控制服务器。
  • CVE-2021-3007 –影响Zend Framework的反序列化漏洞(于2021年1月3日公开)。该漏洞影响的Zend Framework版本高于3.0.0,攻击者可以滥用Zend3功能,该功能从对象加载类以在服务器中上载和执行恶意代码。可以使用“callback”参数上传代码,在这种情况下,该参数将插入恶意代码,而不是“ callbackOptions”数组。
  • CVE-2020-7961 –通过Liferay Portal中的JSONWS进行Java解组漏洞(在7.2.1 CE GA2之前的版本中)(于2020年3月20日公开)。攻击者可以利用此漏洞提供一个恶意对象,该恶意对象在未经编组时可以允许远程执行代码。

“在涉及这些CVE的所有攻击中,攻击者的第一步是尝试运行OS命令的不同语法,以下载并执行名为“ out.py”的Python脚本。” 读取Check Point发布的分析。“在脚本下载并获得许可后(使用“ chmod”命令),攻击者尝试使用Python 2运行它。Python2于去年达到EOL(生命周期终止),这意味着攻击者认为受害者的设备拥有此已弃用的产品已安装。”

该机器人程序是从网站https:// gxbrowser [.] net下载的模糊Python脚本,其中包含多态代码组成。

  • 端口扫描实用程序
  • 采集系统指纹
  • 包括设备地址(MAC,IP)和内存信息。它们在代码的不同功能中用于不同的检查
  • 系统的TerraMaster TOS版本
  • 创建和发送数据包
  • 中间人攻击的ARP中毒。
  • 支持UDP和TCP数据包,还支持HTTP,DNS,SSDP和SNMP等应用层协议
  • 攻击者创建的协议打包支持。
  • 蛮力–使用硬编码凭证
  • 通过此列表,恶意软件尝试使用Telnet连接到其他网络设备。该函数接收一个IP范围,并尝试使用给定的凭证强行强制每个IP。如果成功,则将正确凭据的结果保存到文件中,并以消息形式发送到C2服务器
  • 处理插座
  • 包括处理运行时错误的异常。
  • 支持与其他设备的多线程通信。这使得机器人可以在监听服务器的同时执行动作
  • 嗅探网络
  • 使用“ ARP中毒”功能执行。该机器人将自己设置为其他设备的中间人。截获的数据发送到C2服务器
  • 使用“利用”功能传播到不同的设备。
  • 随机生成要攻击的IP
  • 利用上述CVE(CVE-2020-7961,CVE-2020-28188,CVE-2021-3007)
  • 通过将自身添加到rc.local配置中来获得持久性。
  • DDOS和泛洪– HTTP,DNS,SYN
  • Slowlaris的自我实现。该恶意软件会为相关的受害者地址创建许多套接字,以引发DDoS攻击
  • 打开反向shell –客户端上的shell
  • 通过名称或ID终止进程
  • 使用混淆技术打包和解压缩代码,以为不同的函数和变量提供随机名称。

僵尸网络可以通过组合上述功能来进行多种恶意活动,例如提供加密货币矿工,启动DDoS或在整个公司网络中横向传播。

Check Point研究人员分析了恶意代码,并能够访问botmaster用来控制僵尸网络的IRC通道。

该僵尸网络尚处于早期阶段,在分析时,IRC面板显示它仅控制188个僵尸网络。

Check Point专家还能够追踪其作者,该作者与绰号Freak一起在线。

“在2015年发布在HackForums上的帖子中,该用户由” Fl0urite”提交,标题为” N3Cr0m0rPh Polymorphic IRC BOT”,该机器人被出售以换取BitCoins(BTC)。”

专家发表的分析报告包括MITER ATT&CK技术和保护措施(IoC,IPS和Anti-Bot)。

僵尸网络linux服务器
本作品采用《CC 协议》,转载必须注明作者和本文链接
【安全头条】Linux僵尸网络张开怀抱迎接Confluence漏洞
2022-06-10 08:57:53
安全研究员监测到部分僵尸网络开始用Confluence漏洞扩大地盘,感染Linux服务器
PgMiner 僵尸网络攻击 ostgreSQL 数据库,获取高额利润
2020-12-14 10:48:17
到目前为止,只有在Linux服务器上运行的PostgreSQL数据库受到了攻击。该僵尸网络由研究人员代号 PgMiner,只是一长串针对网络技术牟取利润的最新网络犯罪活动中的最新形式。如果PgMiner找到了活动的PostgreSQL系统,则僵尸网络将从扫描阶段移至暴力破解阶段,在僵尸网络阶段,它会拖曳一长串密码以尝试猜测默认的PostgreSQL帐户“postgres”的凭据。一旦他们对被感染的系统有了更牢固的控制,PgMiner团队将部署一个硬币挖掘应用程序,并尝试在被检测到之前挖掘尽可能多的Monero加密货币。
加密 WatchDog 僵尸网络针对 Windows 和 Linux 服务器
2021-02-19 09:51:12
Palo Alto Networks的安全研究人员发现了一个针对Windows和Linux系统的,名为WatchDog的加密劫持僵尸网络。WatchDog是安全专家发现的最大,持续时间最长的Monero加密劫持操作之一,其名称来自名为watchdogd的 Linux daemon 的名称 。Palo Alto专家确定,至少有476个系统受到僵尸网络的攻击,其中主要是Windows和NIX云实例,它们参与了采矿作业。该僵尸程序使用33种不同的漏洞利用程序来针对过时的企业应用程序,以利用32个漏洞。
基于Mirai的NoaBot僵尸网络利用Cryptominer瞄准Linux系统
2024-01-12 09:33:28
又一天,又一个针对 Linux 系统的恶意软件威胁!NoaBot和Mirai之间的一个显着区别是,僵尸网络不是针对DDoS攻击,而是针对连接SSH连接的弱密码来安装加密货币挖掘软件。
Abcbot - 一种新的可进化的蠕虫僵尸网络恶意软件瞄准 Linux
2021-11-12 17:41:36
奇虎360的Netlab安全团队的研究人员公布了一种名为"Abcbot"的新型僵尸网络的细节,这种僵尸网络在野外被观察到具有蠕虫般的传播特征,以感染Linux系统,并针对目标发起分布式拒绝服务(DDoS)攻击。
新型 HEH 僵尸删除路由器、IoT 设备、Linux 服务器的数据
2020-10-07 21:23:18
来自中国技术巨头奇虎360网络安全部门Netlab的研究人员发现了一个名为HEH的新僵尸网络,其中包含清除来自受感染系统(如路由器,IoT设备和服务器)的所有数据的代码。 专家注意到,该恶意软件支持多种CPU体系结构,...
通过 SSH 蛮力攻击针对 Linux 服务器的新 IoT RapperBot 恶意软件
2022-08-06 00:00:00
自 2022 年 6 月中旬首次发现以来,人们观察到一种名为RapperBot的新型物联网僵尸网络恶意软件正在迅速发展其功能。
挖矿病毒“盯上”了 Docker 服务器
2022-04-27 07:16:45
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。
物联网恶意软件针对性攻击服务器和安卓系统
2022-06-07 14:43:14
一个被称为 "EnemyBot" 的快速发展的物联网恶意软件,其攻击目标是内容管理系统(CMS)、网络服务器和Android设备。据研究人员称,目前,威胁攻击组织 "Keksec "被认为是传播该恶意软件的幕后推手。
GoDaddy源代码失窃服务器被安装恶意程序
2023-02-22 10:31:36
Web 托管巨头 GoDaddy 证实它遭到了持续多年的入侵,源代码失窃服务器也被安装恶意程序。
Andrew
暂无描述